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Inleiding 


In opdracht van de Raad van Commissarissen van NS en de 
aandeelhouder, de Minister van Financiën, heeft Alvarez & Marsal een 
grondig onderzoek uitgevoerd naar governance, risk management en 
compliance (GRC) bij NS. Directe aanleiding voor dit veelomvattende 
onderzoek waren de in 2015 gebleken onregelmatigheden bij NS- 
dochter Qbuzz tijdens de aanbesteding van het openbaar vervoer in 
Limburg. Alvarez & Marsal maken in hun onderzoek op overzichtelijke 
wijze duidelijk welke maatregelen NS moet nemen om de GRC- 
organisatie op orde te brengen en de kans te minimaliseren dat 
dergelijke onregelmatigheden bij NS ooit weer gebeuren. Alvarez & 
Marsal heeft haar onderzoek inmiddels afgerond en haar bevindingen 
en aanbevelingen vastgelegd in het rapport 'NS Weerbaar naar de 
toekomst'. 

Een duidelijke opdracht 

De hoofdconclusie van Alvarez & Marsal luidt dat het GRC-systeem bij 
NS op dit moment niet voldoende op orde is om enerzijds het risico op 
onregelmatigheden en niet-integer gedrag zoveel mogelijk te 
voorkomen en anderzijds gewenst gedrag te stimuleren. Hieruit volgt 
niet zonder meer dat het risico op onregelmatigheden zoals bij de 
aanbesteding in Limburg groot is, maar NS loopt meer risico's op GRC- 
vlak dan van een staatsbedrijf mag worden verwacht en verlangd. De 
Raad van Bestuur stelt dan ook onverkort vast dat GRC bij NS 
onvoldoende op orde is en verbetering noodzakelijk is. De Raad van 
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Bestuur gaat de aanbevelingen van Alvarez & Marsal op alle 
onderdelen ruimhartig uitvoeren. Mevrouw Susi Zijderveld, die op 1 
februari 2016 start als Chief Governance, Risk en Compliance Officer 
(CGRCO), zal hierin een leidende rol spelen. 

Alvarez & Marsal geeft concrete suggesties op het gebied van het 
biedingsproces, de omgang met vertrouwelijke informatie, inkoop, 
human resource management, screening, vastgoed en privacy. Wij 
gaan met urgentie deze suggesties oppakken en de voorgestelde 
maatregelen uitvoeren. Onze ambitie is om in de komende jaren te 
ontwikkelen naar een bedrijf dat op GRC-gebied ruimhartig voldoet 
aan de standaarden die passen bij haar maatschappelijke positie en 
verantwoordelijkheid. Wij realiseren ons terdege dat wij heel veel 
werk moeten verzetten om deze ambitie te realiseren. 

Aanbevelingen en maatregelen 

De analyse en aanbevelingen van Alvarez & Marsal vormen de basis 
voor een fundamentele verbeterslag die NS gaat doorvoeren. Gezien 
de constateringen van Alvarez & Marsal is het evident dat NS per 
direct voortvarend aan de slag moet. NS realiseert zich dat op 
belangrijke onderdelen de afgelopen jaren nog te weinig vooruitgang 
is geboekt. 

Het voorliggende plan van aanpak is de eerste stap op weg naar een 
toekomst waarin NS GRC op een niveau heeft georganiseerd dat past 
bij haar maatschappelijke rol en positie. Het geeft de verbeterpunten 
weer die NS op basis van het onderzoeksrapport zonder meer moet 
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oppakken. Om zeker te stellen dat dit onder de juiste 
verantwoordelijkheid gebeurt, hebben wij de maatregelen, in lijn met 
de rapportage van Alvarez & Marsal, per thema weergegeven. 

Met enkele punten is NS in 2015 reeds gestart, andere volgen dit jaar 
en maken deel uit van een planmatige, systematische en duurzame 
aanpak onder leiding van de Raad van Bestuur en in het bijzonder de 
CGRCO. 

Governance NS Groep 

De Raad van Bestuur maakt als leidend gremium in de organisatie 
helder dat zij groot belang hecht aan de verbetering van GRC en 
onderstreept dat zij dit beschouwt als een integraal deel van het 
management binnen het bedrijf. Voor verbetering van GRC is 
noodzakelijk dat het volledige NS-management verantwoordelijkheid 
heeft en neemt. 

De Raad van Bestuur wil meer en sneller vooruitgang boeken met de 
voorgenomen brede aanpak op bestuur, structuur en cultuur. 

De Raad verwacht in het eerste kwartaal van 2016 in samenspraak met 
de Raad van Commissarissen en de aandeelhouder de discussie over 
de strategische heroriëntatie af te ronden. Tevens voert de Raad van 
Bestuur in 2016 na vaststelling door de Raad van Commissarissen een 
wijziging door in de topstructuur van NS, opdat zij de strategie 
succesvol kan uitvoeren. Deze wijzigingen leiden in combinatie met de 
komst van de CGRCO en de uitvoering van de aanbevelingen van 
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Alvarez & Marsal tot forse aanpassing van de governance (realisatie: 
tweede kwartaal 2016). 

Onderdeel van de aanpassing is dat NS risicomanagement en 
compliance veel nadrukkelijker opneemt in de businessplanning. 

NS bepaalt key performance indicators voor GRC. 

De Raad van Bestuur monitort en stuurt waar nodig bij op basis van 
maandrapportages van alle bedrijfsonderdelen (realisatie: tweede 
kwartaal 2016). 

Daarnaast stelt de Raad van Bestuur, onder leiding van de CGRCO en in 
collegiaal overleg het integriteitsbeleid, en het business control 
framework vast en monitort de opvolging van het plan van aanpak. 
Tevens besluit de Raad van Bestuur over de werkwijze in geval van 
onvoorziene situaties ('Waivers'). Aldus verbetert NS op GRC 
(zelf)discipline, bewustzijn, handhaving van het beleid en toezicht op 
de uitvoering (realisatie tweede kwartaal 2016). 

Zodra de Raad van Commissarissen de nieuwe topstructuur heeft 
vastgesteld, stelt de Raad van Bestuur een nieuw 
bevoegdhedenreglement op ter vervanging van het huidige 
directiereglement. Met het reglement maakt NS de verhouding tussen 
de Raad van Bestuur en de NS-bedrijfsonderdelen glashelder 
(realisatie: tweede kwartaal 2016). 

NS brengt in 2016 risicomanagement blijvend op het vereiste niveau; 

dit niveau is bepaald met het risk framework dat op basis van eerder 
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onderzoek door Oliver Wyman is vastgesteld. NS geeft specifieke 
aandacht aan het voorkomen van integriteitsissues. 

NS geeft een extra impuls aan de bekendheid van medewerkers met 
regels en de toepassing van regels, met als doel het risico op 
ongewenst gedrag te beperken. Ook zorgt NS er voor dat 
medewerkers beter bekend zijn met wie de compliance officers en 
vertrouwenspersonen zijn, en weten tot wie zij zich nog meer kunnen 
wenden in geval van vragen of meldingen (realisatie: eerste kwartaal 
2016). 

Governance Abellio 

NS herijkt in aansluiting op de strategische heroriëntatie de 
bestuurlijke verhouding tot dochteronderneming Abellio. Doel is om 
een nieuwe balans te bereiken tussen sturing op afstand en de 
beheersing van risico's door het nemen van passende GRC- 
maatregelen. 

Abellio onderschrijft het belang van versterking van de governance, 
risicomanagement en compliance. Abellio vult dit in door inbedding 
van de GRC-kaders van NS en door verdere integratie en uniformering 
op Abellio groepsniveau. 


Abellio bevordert vanuit nieuw leiderschap een cultuur, waarbinnen 
goede governance, hoge ethische standaarden en aandacht voor 
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risico's onderdeel zijn van het gemeenschappelijke gedachtegoed en in 
lijn zijn met de strategische prioriteiten van NS. 

Abellio voert, ondersteund door een externe partij, een review uit op 
de eigen organisatie, mede in relatie tot NS als geheel. Abellio licht, 
evenals NS in Nederland, de structuur, rapportagelijnen en het 
business control framework door. Abellio voert deze doorlichting 
zowel uit bij Abellio op groepsniveau als bij de bedrijfsonderdelen. 
Abellio stelt op basis van de review een overall plan van aanpak op. 
Abellio stelt stringentere procesrichtlijnen op en voert 
controlemaatregelen uit. Bij de uitvoering van het plan van aanpak 
werkt Abellio nauw samen met de NS-staven (realisatie: voor eind 
2016). 

Onderdeel van de review is tevens het inzichtelijk maken van de 
kaders en voorschriften die NS aan de Abellio-organisatie stelt en 
waarop Abellio voort bouwt ter verbetering van het business control 
framework (realisatie: eerste kwartaal 2016). 

Om het toezicht op en de kwaliteit van het financieel en 
risicomanagement te verbeteren, stelt Abellio Audit & Risk 
Committees in, die de bedrijfsleiding van Abellio in de diverse landen 
zullen ondersteunen (realisatie: eerste kwartaal 2016). 
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Als onderdeel van de verbeterde governance legt Abellio de expliciete 
voorschriften voor de beheersing van integriteitsrisico's vast in GRC 
charters (realisatie: eerste kwartaal 2016). 

Abellio stelt aanvullende procedures op voor informatiebeheer bij 
biedingsprocessen die helpen voorkomen dat onrechtmatig data 
worden gedeeld tussen biedingsteam en de operatie (realisatie: 
tweede kwartaal 2016). 

Abellio bundelt bestaande biedingendocumentatie en richtlijnen en 
verbetert deze waar nodig om aldus een uniform framework te 
realiseren ter implementatie in de landen waar Abellio actief is 
(realisatie: tweede kwartaal 2016). 

Abellio heeft het audit budget in overeenstemming met de groei van 
bedrijfsactiviteiten gebracht en is aangesloten op het NS Audit Charter 
(realisatie: vierde kwartaal 2015). 

Abellio realiseert eenduidigheid in het beleid voor bescherming van 
vertrouwelijke informatie, klokkenluiders, klachtenbehandelingen 
fraudepreventie (realisatie: voor eind 2016). 

Risicomanagement 

NS heeft de afgelopen jaren te weinig voortgang geboekt met 
risicomanagement. 
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NS brengt in 2016 risicomanagement blijvend op het vereiste niveau. 
In 2015 heeft NS de eerste stappen gezet voor een centrale en beter 
toegeruste risicomanagement functie. NS heeft een concept-riskplan 
voor 2015-2016 ontwikkeld, dat is besproken door de auditcommissie 
van de Raad van Commissarissen. Het concept-riskplan is gebaseerd 
op het Risk Framework dat is vastgesteld in het eerste kwartaal van 
2015 en gebaseerd op het onderzoek van Oliver Wyman. Het Risk 
Framework is uitgangspunt voor een adequaat risicomanagement 
binnen NS. 

NS zet de ontwikkeling van risicomanagement versneld door met de 
ambitie 'best in class' te worden en een volwassen en geïntegreerd 
risicomanagement systeem te onderhouden. Onder leiding van de 
CGRCO werkt NS in 2016 aan de sturing en integratie van 
risicomanagement binnen NS (realisatie: tweede kwartaal 2016). 


Ethics & Compliance 

NS heeft in overleg met de Centrale Ondernemingsraad de NS 
Gedragscode herzien (realisatie: derde kwartaal 2015). 

De gedragscode is een belangrijk ankerpunt voor het integriteitsbeleid. 
NS richt een toegankelijk en zichtbaar meldpunt in waar medewerkers 
melding kunnen maken van integriteitskwesties en mogelijke 
misstanden. NS ziet toe op consistente handhaving en op opvolging bij 
overtredingen (realisatie: tweede kwartaal 2016). 
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De Raad van Bestuur stelt het Jaarplan en de prioriteiten voor ethics & 
compliance vast (realisatie: tweede kwartaal 2016). 

De Raad van Bestuur ziet tevens toe op de uitvoering door de 
eerdergenoemde maandrapportages en met een jaarlijkse analyse van 
integriteitrisico's (realisatie: vierde kwartaal 2016). 

NS brengt de jaarrapportage over integriteit en compliance op het 
niveau van de standaarden in de sector (realisatie: vierde kwartaal 
2016). 

NS neemt ethics & compliance op in de functieprofielen en hanteert 
GRC-prestatiecriteria voor het management (realisatie: tweede 
kwartaal 2016). 

NS heeft in het concept-riskplan 2015-2016 de prioriteit voor ethics en 
compliance verhoogd. NS brengt de taakbeschrijving en de 
beschikbare capaciteit van de compliance officers hiermee in lijn 
(realisatie: tweede kwartaal 2016). 

Voor specifieke thema's, zoals de melding van incidenten, organiseert 
NS interactieve trainingen voor management en andere specifieke 
doelgroepen (realisatie: tweede kwartaal 2016). 

NS versterkt onder leiding van de CGRCO de ethics & compliance 
functie en verankert deze functie zodanig in de NS governance 
structuur dat het de juiste prioriteit krijgt en behoudt (realisatie: 
vierde kwartaal 2016). 
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Audit 


NS heroverweegt de reikwijdte en de verantwoordelijkheden van de 
interne auditfunctie in Nederland en bij Abellio in het buitenland. 

NS onderzoekt tevens de bezetting van de internal auditfunctie en past 
deze zo nodig aan (realisatie: tweede kwartaal 2016). 

Vertrouwelijke informatie 


NS versterkt het bewustzijn van management en medewerkers op het 
veilig omgaan met informatie. 

NS neemt informatiebewustzijn op in diverse opleidingen. NS 
organiseert awareness dagen voor IT-doelgroepen en sessies voor IT- 
projectmanagers over verantwoordelijkheden rondom 
informatiebeveiliging in projecten. NS geeft trainingen over 
informatiebeveiliging (leerportaal). Bij het uitreiken van mobiele 
apparatuur verstrekt NS het personeelsreglement "Veilig omgaan met 
informatie". Dat gebeurt ook bij inhuur van externen. 

NS lanceert een NS brede informatiebeveiligingscampagne voor 
medewerkers. In het kader van deze campagne stelt NS een speciale 
app ('BeSecure') beschikbaar. De app dient als hulp bij classificatie van 
vraagstukken. NS heeft ook een game over informatiebeveiliging 
ontwikkeld om het bewustzijn rondom informatie en classificatie te 
verhogen (realisatie: eerste kwartaal 2016). 
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Bij installatie van nieuwe werkplekken neemt NS informatiebewustzijn 
expliciet mee in de communicatie (realisatie: tweede kwartaal 2016). 


Inkoop: NS Procurement 


In aanvulling op huidige verantwoordelijkheden wordt de Chief 
Procurement Officer van NS ook verantwoordelijk voor de opzet en 
effectieve werking van de inkoopprocessen bij NedTrain en NS 
Stations. 

NS uniformeert het inkoopbeleid voor treingebonden inkopen. 

De manager Procurement van NedTrain neemt deel aan het 
overkoepelend NS management team voor inkoopzaken. 

Ook heeft NS bij NedTrain een tenderboard ingesteld voor 
treingebonden inkopen, waarbij het NS tenderboard beleid wordt 
gevolgd (realisatie: vierde kwartaal 2015). 

NS bepaalt waar de hiërarchische verantwoordelijkheid voor de 
NedTrain inkoopfunctie het beste gepositioneerd kan worden 
(realisatie tweede kwartaal 2016). 

Bij de besluitvorming op het gebied van de invoering van een nieuw 
ERP-systeem voor treingebonden inkopen weegt NS uniformiteit en 
aansluiting op de NS-inkoopsystemen mee. 
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De Raad van Bestuur stelt nadere details van het inkoop- en 
aanbestedingsbeleid vast (realisatie vaststelling beleid vierde kwartaal 
2015, implementatie eerste kwartaal 2016). 

NS Procurement bepaalt in overleg met Abellio de eisen voor het 
inkoopbeleid bij Abellio, waar nodig gespecificeerd naar concessie of 
werkmaatschappij (realisatie: tweede kwartaal 2016). 

NS Procurement vergroot de kennis over wet- en regelgeving inzake 
aanbesteding voor alle medewerkers voor wie dat van belang is. 
(realisatie: tweede kwartaal 2016). 

NS Legal traint structureel de inkopers in capita selecta wat betreft 
wijzigingen in wetgeving en jurisprudentie. 

NS Procurement heeft voor alle NS-medewerkers een pagina ingericht 
op de intranet-site met een (beknopte) toelichting op het inkoopbeleid 
(realisatie: vierde kwartaal 2015). 

In 2015 heeft NS een nieuw functiehuis geïmplementeerd voor 
Procurement. Daarbij heeft NS expliciete opleidings- en kenniseisen 
gesteld aan inkopers. Inkopers die niet aan het gewenste kennisniveau 
voldoen, nemen verplicht deel aan NEVI-training (realisatie: start in 
vierde kwartaal 2015, opleiding loopt door tot tweede kwartaal 2016). 
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Human Resource management 


Zoals gezegd, heeft NS in 2015 een herziene gedragscode vastgesteld. 
De herziene gedragscode is gepubliceerd op het NS-intranet. NS reikt 
de gedragscode ook direct bij binnenkomst uit aan alle nieuwe 
medewerkers en inhuurkrachten. 

De Raad van Bestuur heeft bij de gedragscode de contouren 
vastgesteld van een bijbehorend programma, onder de titel "oNS 
Moreel Kompas". NS geeft uitvoering aan dit programma als onderdeel 
van een breder cultuurprogramma. NS richt zich in dit brede 
programma op kennis, bewustzijn en gedrag op alle aspecten van 
bedrijfsintegriteit, bijvoorbeeld ook informatiebewustzijn en ethics en 
compliance. De aanbevelingen van Alvarez & Marsal zijn de basis voor 
de invulling van het programma. De CGRCO stuurt op de inhoud en 
uitvoering van het cultuurprogramma (realisatie: vierde kwartaal 
2016). 

NS optimaliseert het proces van screening en toezicht. NS maakt een 
nieuwe opzet van criteria voor te screenen functies, (realisatie: vierde 
kwartaal 2015). 

NS verscherpt het huidige beleid voor de inhuur van externen. Alle 
inhuur geschiedt via een centrale inhuurdesk. NS verplicht alle 
inhuurmedewerkers om vooraf in te stemmen met de NS 
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Gedragscode, diverse reglementen en het fraudebeleid. Ook de 
ondertekening van een integriteitsverklaring is verplicht (realisatie: 
vierde kwartaal 2015). 

NS hanteert voor de screening van externen ook een Verklaring 
Omtrent Gedrag. Bij risicovolle functies voert NS tevens een 
achtergrondonderzoek uit. 

NS verankert in haar processen dat de inhuurkracht pas met de 
werkzaamheden kan starten nadat alle benodigde compliance 
processen zijn doorlopen (realisatie: vierde kwartaal 2015). 


Vastgoed 

NS Stations voert bij nieuwe verkopen een vroegtijdige screening van 
kopers in. Daarnaast heeft NS Stations een incidentenregister 
ingevoerd voor vastgoed (realisatie: vierde kwartaal 2015). 

NS Stations zorgt ervoor dat het incidentenregister bekend is bij alle 
betrokken medewerkers (realisatie: tweede kwartaal 2016). 

De herziene NS Gedragscode geldt ook voor NS Stations. NS Stations 
vult deze code aan met specifieke bepalingen uit de Gedragscode 
Stations. Ook voert NS Stations een bijbehorende integriteitsverklaring 
in (realisatie: tweede kwartaal 2016). 
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Privacy 


NS actualiseert het beleidskader voor privacy en vult dit kader aan met 
de benodigde procedures. NS bekrachtigt aldus de eisen voor privacy 
en dataprotectie en bevordert maximale naleving van die eisen 
(realisatie: tweede kwartaal 2016). 

NS verhoogt de Controls op naleving van privacy wetgeving door het 
aanstellen van vaste aanspreekpunten binnen de business. Deze 
aanspreekpunten rapporteren aan de NS Privacy Officer. NS maakt 
vaker gebruik van Privacy Impact Assessment, als instrument voor 
beheersing van de juiste privacy maatregelen. De Information Security 
Officer ondersteunt bij gebruik van dit instrument (realisatie: vierde 
kwartaal 2016). 

NS breidt de rapportages van de business aan de NS Privacy Officer uit. 
De Raad van Bestuur bespreekt elk jaar een policy review, opgesteld 
door de NS Privacy Officer (realisatie: vierde kwartaal 2016). 

Toezicht en verantwoording 


NS is een publieke onderneming aan wie de uitvoering van het 
treinverkeer op het hoofdrailnet in Nederland is toevertrouwd. Bij 
deze bijzondere maatschappelijke positie horen bijzondere 
verantwoordelijkheden. 
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De Raad van Bestuur en het verantwoordelijk management van NS 
committeren zich volledig aan de uitvoering van de aanbevelingen. NS 
zal hierop periodiek rapporteren. De Raad van Bestuur monitort en 
stuurt waar nodig bij, onder andere op basis van maandrapportages. 

De Raad van Bestuur informeert de Raad van Commissarissen elk 
kwartaal over de voortgang op dit plan van aanpak. De aandeelhouder, 
de Minister van Financiën, wordt tenminste op kwartaalbasis 
geïnformeerd als onderdeel van de reguliere planning en control 
cyclus. 


Tot slot 


Dit plan van aanpak bevat een opsomming van maatregelen die NS in 
het komend jaar uitvoert. Dat is nodig, maar niet genoeg. 

NS dient een bedrijfscultuur te realiseren, waarin integer handelen 
een eerste natuur is. Naast verbetering van de hard Controls, is met 
name nodig dat het management binnen NS haar 
verantwoordelijkheid voor verbetering van GRC neemt. En dat zij, 
mede door het voorbeeld dat zij geeft, voor medewerkers duidelijk 
maakt wat integer gedrag inhoudt. Het management zorgt er tevens 
voor dat medewerkers bij twijfels of problemen zich durven en kunnen 
uitspreken en worden gehoord. Onder leiding van de nieuwe 
bestuurder voor GRC gaat NS hier hard mee aan de slag. 
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Alvarez & Marsal concluderen dat bij NS van oudsher een cultuur 
bestaat van autonomie en het zelfstandig een afweging maken over 
hoe te handelen. Waarbij onbekendheid met regels of onbekendheid 
met de juiste toepassing van regels, leidt tot een verhoogd risico op 
(onbewust) normafwijkend gedrag. 

NS start in 2016 een breed cultuurprogramma, waarin kennis over, 
bewustzijn op en gedrag ten aanzien van alle aspecten van 
bedrijfsintegriteit aan de orde komen, ten einde deze op een hoger 
niveau te brengen. 

Zoals in de inleiding gezegd, is de ambitie van NS zich in de komende 
jaren te ontwikkelen naar een bedrijf dat op GRC-gebied ruimhartig 
voldoet aan de standaarden die passen bij onze maatschappelijke rol. 
Wij zijn ook realistisch; het gaat veel inspanning en tijd kosten om die 
ambitie te bereiken. Hoe eerder we starten, hoe beter. Wij zijn dan 
ook al hard aan het werk. 
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